ここから本文です

パスワード管理の心構え最新常識

8/20(火) 7:00配信

日経ビジネス

 日々進化、巧妙化するビジネスメール詐欺、マルウエア攻撃。錯誤を狙った罠や理解不足による失敗にはまらないためのセキュリティー常識講座です。自分だけでなく、会社や取引企業、人脈を傷つけないための常識、ソリューション力を身につけられるような内容にしていきます。

【図】リスト型攻撃は他所から漏れたID、パスワードなどを使って、攻撃対象となるサービスに不正アクセスを試みる手法。パスワードなどを使い回していると、不正アクセスが成功することも

桜井敏昭(日経ビジネス):今回は、数が多すぎて扱いに困るID、パスワードの管理法について教えていただけるということでした。

辻伸弘(セキュリティリサーチャー):数多くのサービスを使っていて、IDやパスワードを全部覚えられないなら、パスワード管理用の有料のアプリケーションやサービスを使うという手があります。ただ、有料サービスを使いたくないなら、心得ておきたいポイントがいくつかあります。有料のアプリケーション、サービスについては、そのメリット、デメリットを最後に紹介します。

●覚えやすい単語を組み合わせてパスワードを作る

 ここで覚えておきたいのは、強度の高いパスワードの作り方です。かつては、英数、大文字、小文字、そして記号を織り交ぜた8文字以上のランダムな文字列に設定するということが推奨されていました。

 しかし、現在は自分が覚えやすい単語を複数組み合わせて使うことが推奨されています。住所、自分や家族の名前など、他人が簡単に類推できる単語は避けたほうがよいです。そうすれば、強度の高いパスワードが作れます。文字数は8文字以上でとにかく可能な限り長く設定することがお勧めです。

* * *

◆強度の高いパスワードの作り方の例

その1:覚えやすく他人が類推できない単語を組み合わせる
「tantanmen」+「sentou」+「bengoshi」

その2:使い回しのないようにサービスごとに変化をつける
「tantanmen」+「face」+「sentou」+「bengoshi」

 パスワードは自分が覚えやすい単語を組み合わせて長くする。無理に数字や記号を入れなくても構わない。「その1」は「好きな食べ物」+「好きなもの」+「なりたかった職業」という組み合わせでの例。

 使い回しをしないために、サービスごとにこの組み合わせを変えたほうがよいが、サービス名を自分のルールに沿った形で足すという手もある。上記の「その2」では、第2フレーズにサービス名(Facebook)の頭から4文字を加えた。なお、より安全性を高めるには、どこにどういうフレーズでサービス名を入れるかは、できるだけ固定せず、変化させたほうがよい

* * *

 インターネットのサービスの中には、12文字程度、または8文字までしか受け付けないものもありますが、重要度の高いサービスで、そうしたレベルのところは可能であれば利用を避けたほうがよいかもしれません。

 利用するサービスによって組み合わせを変えるのが大変で、覚えにくいというのであれば、決めたパスワードに自身のルールに沿ったサービス名を足すということもなしとはしません。

 ともかく、今使っているパスワードの強度が低いままになっていたり、パスワードを使い回している人は、まず重要度の高いものからパスワードを変えてください。決済に関わるサービスや、SNS(交流サイト)、プライベートな写真や情報を扱うサービスなどに強度の高いパスワードを早く設定することです。

 その上で、前回お話しした「2段階認証」など「多要素認証」を使えば、安全性が高まります。その意味では重要度の高いサービスで「多要素認証」の仕組みが無いものは使わないことです。

 使い回しのパスワードを設定したサービスが多すぎて、どうしてもすぐには変えられないという場合があるかもしれません。そんなときは、ニュースを読むためだけの無料登録のサービスなど、重要度が比較的低いものに限って、パスワードの変更を遅らせることもありでしょう。ただし、あくまで暫定措置と考え、その後、順次変えていってください。

1/3ページ

最終更新:8/20(火) 7:00
日経ビジネス

記事提供社からのご案内(外部サイト)

こんな記事も読まれています

あなたにおすすめの記事